Política de segurança da informação, classificação e mapeamento de dados. A TI e seus desafios

Como você sabe, o escritório Assis e Mendes tem entre suas espe­cial­i­dades a Con­formi­dade com a LGPD e Dire­ito dos Tit­u­lares:

Nós aux­il­iamos sua empre­sa na con­formi­dade com a Lei Gera de Pro­teção de Dados focan­do das bases legais para o trata­men­to de dados, revisão dos con­tratos e cumpri­men­to do Dire­ito dos Tit­u­lares. Mas sabe­mos que nos­so tra­bal­ho cobre a parte jurídi­ca da con­formi­dade com a lei.

Para a parte tec­nológ­i­ca, con­ta­mos com par­ceiros espe­cial­iza­dos em Segu­rança da Infor­mação para aten­der nos­sos clientes des­de o assess­ment até a implan­tação de fer­ra­men­tas que aux­iliem na exe­cução de tare­fas, gestão de pri­vaci­dade e segu­rança dos dados.

Por isso, con­ver­samos com o espe­cial­ista Mar­cos Fre­itas, Dire­tor de Deliv­ery e Audi­tor Líder do nos­so prin­ci­pal par­ceiro, a Lead­comm Performance&Security, para te aju­dar a enten­der quais os primeiros pas­sos que a empre­sa deve faz­er no atendi­men­to ao que rege a LGPD, a importân­cia de ter uma políti­ca de segu­rança da infor­mação e de ado­tar os proces­sos deriva­dos dela para que você pos­sa cuidar de for­ma efe­ti­va do seu negócio.

1. Mar­cos, é bas­tante comum ouvir que é impor­tante ter políti­cas de segu­rança. Mas, de fato, para poder­mos enten­der bem e de for­ma obje­ti­va, o que são políti­cas ou políti­ca de segu­rança? E por que as empre­sas devem se pre­ocu­par com isso?

As políti­cas de segu­rança são impor­tantes, pois elas esta­b­ele­cem nas orga­ni­za­ções as dire­trizes para que todos os envolvi­dos, den­tro de suas funções e habil­i­dades, pos­sam ter respon­s­abil­i­dade com relação ao uso das infor­mações den­tro da empre­sa, como trans­fer­ên­cia, armazena­men­to e uso – quem pode acessá-la, quem não pode. Essa é a parte mais impor­tante. A infor­mação é um bem muito pre­ciso e as políti­cas garan­tem a pro­teção e uso cor­re­to dos dados. Ain­da mais hoje, com a questão da LGPD, essas regras pas­sam a ser ain­da mais impor­tante, porque ago­ra existe uma lei que esta­b­elece o dire­ito do tit­u­lar dos dados e pode acar­retar mul­tas às empre­sas quan­do há o mau uso dos dados pes­soais e sensíveis.

• Quais são os prin­ci­pais desafios encon­tra­dos para se desen­har e imple­men­tar uma políti­ca de segurança?

Eu diria que, mes­mo hoje, as empre­sas no Brasil são pouco maduras no que­si­to segu­rança. Os riscos nor­mal­mente são muito neg­li­gen­ci­a­dos. Através da con­sul­to­ria LGPD que real­izamos pela Lead­comm, con­seguimos ver que há um despreparo de grandes orga­ni­za­ções para poder aten­der toda e qual­quer leg­is­lação que trate da segu­rança de dados. Enx­erg­amos uma dis­tân­cia entre a real­i­dade e o que de fato se dese­ja nes­sa área. Por mais que esse seja um tema trata­do há, pelo menos, mais de três décadas de for­ma inten­sa, a gente percebe pou­ca evolução nas grandes empre­sas (e nas demais também).

Out­ra questão impor­tante, que sem­pre ouvi­mos, é o dire­ciona­men­to da gestão de segu­rança de uma orga­ni­za­ção para e somente à área de TI (tec­nolo­gia da infor­mação) quan­do, na ver­dade, a segu­rança é um tema cor­po­ra­ti­vo e deve ser trata­da como tal. Além do mais, muitas infor­mações estão fora da alça­da da TI. 

• Clas­si­fi­cação de dados – o que é isso?

Quan­do a gente fala de políti­ca de segu­rança e das boas práti­cas para o tra­to das infor­mações, é impor­tante enten­der que os dados não pos­suem os mes­mos graus de importân­cia. Den­tro de uma orga­ni­za­ção, encon­tramos vários gru­pos de infor­mações – des­de as pouco impor­tantes até as estratég­i­cas. O desafio é rotu­lar todas medi­ante esse fator.

A clas­si­fi­cação de dados é o rótu­lo que se dá a deter­mi­nadas infor­mações – a públi­ca, a con­fi­den­cial, a restri­ta – e a par­tir dessa clas­si­fi­cação esta­b­elece-se con­troles de armazena­men­to, trans­fer­ên­cia, tro­cas, for­ma de descarte, etc.

• Fala-se bas­tante da importân­cia de clas­si­ficar os dados sen­síveis den­tro de uma empre­sa. É algo que pode ser feito internamente?

O grande desafio de clas­si­ficar dados inter­na­mente é que é pouco prováv­el que a empre­sa ten­ha um profis­sion­al ded­i­ca­do a isso e que con­si­ga com­preen­der, por exem­p­lo, a LGPD, que é muito ampla. Isso se dá pela neg­ligên­cia que ocorre há muito tem­po por parte das empre­sas em relação à segu­rança e pela defasagem de profis­sion­ais no mercado.

As empre­sas enfrentam difi­cul­dades em encon­trar profis­sion­ais da área de segu­rança, agrava­do pela entra­da da LGPD, e esse são espe­cial­iza­dos e foca­dos na TI – que é ape­nas uma das camadas da segurança.

É pre­ciso ter visão do negócio.

Com isso, é mais fácil bus­car por parceiros/terceiros com exper­tise, profis­sion­ais qual­i­fi­ca­dos e com­petên­cia para entre­gar o tra­bal­ho. Assim, a empre­sa tam­bém pode con­tin­uar foca­da no seu negó­cio (core business). 

• Existe uma for­ma ide­al para mapear dados? Aliás, qual é a difer­ença entre clas­si­ficar dados e mapear dados?

O mapea­men­to é o entendi­men­to de onde estão os dados cap­ta­dos, uti­liza­dos e armazena­dos pela empre­sa e como são uti­liza­dos cada tipo de dado (clas­si­fi­ca­dos con­forme expli­ca­do ante­ri­or­mente). Por exem­p­lo: a LGPD tra­ta dados pes­soais e sen­síveis. O mapea­men­to irá deter­mi­nar quais as áreas da empre­sa que recebem, tratam e armazenam ess­es dados e de que for­ma o fazem.

Para mapear, é necessário con­hecer todos os proces­sos de todos os setores da empre­sa, para iden­ti­ficar onde exis­tem dados pes­soais, quais são ess­es dados, de quem, como são trata­dos e onde ficam armazenados.

A clas­si­fi­cação é o rótu­lo que aju­dará a deter­mi­nar qual a políti­ca que será segui­da para aque­le dado mapeado.

• O mapea­men­to de dados e as políti­cas de segu­rança são questões de respon­s­abil­i­dade exclu­si­va da área de TI?

Não. A segu­rança da infor­mação é um prob­le­ma cor­po­ra­ti­vo, deve ser trata­da como tal e ser parte da estraté­gia de negó­cio da orga­ni­za­ção. É claro que a TI tem mui­ta relação com a segu­rança, prin­ci­pal­mente porque falam­os de infraestru­tu­ra, sis­temas, mon­i­tora­men­to, suporte, anális­es, etc. Mas tudo isso deve estar alin­hado à uma políti­ca ger­al de segurança.

• Para finalizar:

O tema segu­rança é bas­tante anti­go, o pon­to é que deix­am­os a políti­ca de segu­rança da infor­mação como algo mais práti­co do que teóri­co. Encon­tramos muitas empre­sas com políti­cas escritas, mas muito dis­tante daqui­lo que é pos­sív­el ser exe­cu­ta­do na práti­ca – muitas vezes as empre­sas pos­suem dire­trizes e doc­u­men­tos escritos, mas são coisas muito dis­tantes do que podem exe­cu­tar. A políti­ca de SI tem que retratar algo que seja próx­i­mo ao dia a dia da empre­sa, caso con­trário, será mais um doc­u­men­to que vai ficar para­do na gaveta.

Muitas vezes, empre­sas copi­am políti­cas uma das out­ras, mas na práti­ca, o que foi copi­a­do não é pos­sív­el de se aplicar no dia a dia porque está muito longe da real­i­dade e dos aspec­tos cul­tur­ais da empresa. 

Cri­ar uma políti­ca de SI própria para sua empre­sa é, além de um inves­ti­men­to, uma for­ma de garan­tia de que proces­sos serão real­iza­dos da for­ma cor­re­ta e um seguro para que san­sões não sejam apli­cadas por uso incor­re­to de dados e informações.

Caso queira mais infor­mações sobre Políti­cas de Segu­rança de Infor­mações, Con­sul­to­ria LGPD ou soluções de Segu­rança de Dados, entre em con­ta­to com a Lead­comm: www.leadcomm.com.br/contato/